第一篇:萨班斯法案(SOX)企业内部控制基本规范的操作和.
如何有效进行企业内部控制----------“萨班斯法案(SOX)”—《企业内部控制基本规范》的操作和运用技巧
2009年8月01-02日
上海 2009年8月08-09日
深圳 2009年8月15-16日
北京
课程背景及意义:
6月28日,财政部、证监会、银监会、保监会及审计署等五部委会联合发布““萨班斯法案(SOX)”———《企业内部控制基本规范》(下称《基本规范》),并定于明年7月1日起首先在上市公司范围内强制施行,同时鼓励非上市其他大中型企业执行。《规范》的发布,标志着我国企业内部控制规范体系建设取得重大突破。
国际资本市场大力强化内部控制。研究结果表明,内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此,许多国家通过立法强化企业内部控制,内部控制日益成为企业进入资本市场的“入门证”和“通行证”,我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度,以适应上市地的监管要求。经济健康发展迫切呼唤加强内部控制。随着市场经济的发展和企业环境的变化,单纯依赖会计控制已难以应对企业面对的市场风险,会计控制必须向风险控制发展;同时,各部门之间的内控要求也有待于进一步协调,以便为进行内部控制自我评估和外部评价提供统一标准。
为帮助财务管理人员系统地掌握内部控制的重点难点问题,有效的进行企业内部控制。特邀请著名企业内控管理专家黄教授进行详细、系统、精确讲解和解答。
黄教授简介:
会计学博士,博士生导师,注册会计师,广东省财政学会、经济学会常务理事。长期从事内外资企业的财务管理与控制相关领域的工作,担任若干家集团公司财务顾问及独立董事,经常被国内各大媒体或经济论坛作为特邀嘉宾撰文或发表演讲,长期为国内各大、中型企业提供培训以及咨询服务。
专业及擅长领域:风险管理与内部控制,业绩评价与激励机制,公司治理等。出版著作:《上市公司会计选择行为研究》(经济科学出版社),《会计信息系统》(西南财经大学出版社)等20多套。
主持课题:《中小企业融资难问题研究》《企业内部控制效率原则研究》《企业核心能力成长与激励相关性研究》《上市公司会计选择行为优化与管理层激励研究》等
接受黄教授培训咨询服务的典型客户:摩托罗拉(中国)有限公司天津分公司、大连港、广州本田汽车,广州五羊摩托、广船国际、湖南猎豹汽车、贵州黄果树集团、云南云天化股份有限公司、浙江铁牛集团、江苏春兰集团、广东格力空调、海南旅游集团、深圳中兴通讯、安徽江淮汽车、马鞍山钢铁集团、江中制药等近千家单位。
适合对象:
企业董事长、总经理、CEO、财务总监、人力资源总监,企业管理层其它中层人员。
标准收费:2500元/人(全套资料、午餐、咖啡点心、税费)
备注:800元/人(参加认证考试的学员须交纳此费用,不参加认证考试的学员无须交纳)
1、凡参加认证的学员,在培训结束参加考试合格者由<国际职业认证标准联合会>颁发<<高级职业经理人>>或<<高级财务管理师证书>>国际国内中英文版双职业资格证书,(国际国内认证/全球通行/雇主认可/官方网上查询); 备注:课程结束后学员选择考试试题。
2、凡参加认证的学员须提交本人身份证号码及大一寸数码照片;
3、课程结束后15个工作日内将证书快递寄给学员;
4、可申请中国国家人才网入库备案。
课程大纲:
一、《企业内部控制基本规范》的出台背景
1.为什么需要制定内部控制体系?
2.《企业内部控制基本规范》的整体结构
3.案例:美国SOX法案对内控的要求及其借鉴
二、《企业内部控制基本规范》概述
1.《企业内部控制基本规范》的宗旨和依据
2.《企业内部控制基本规范》的适用范围
3.什么是内部控制?
4.内部控制体系的“555“:五大目标、五大原则和五大要素
5.如何促进内部控制的有效实施?
6.内部控制制度有效性的审计及回避制度
7.案例:从COSO内控框架体系到COSO风险管理整合框架的演进
三、内部环境
1.什么是内部环境
2.如何设立科学的法人治理机构
3.如何设置合理的内部机构
4.如何设计企业目标及责权体系
5.如何培植企业文化
6.如何制定人力资源政策
7.如何设计内部审计机制
8.如何完善企业法制环境
9.案例分析 :安然事件
四、风险评估
1.什么是风险评估
2.什么是风险承受度
3.风险评估该如何进行
4.企业应设立哪些目标
5.企业有哪些内部风险和外部风险
6.企业风险识别的方法有哪些
7.企业如何确定重要性风险
8.风险应对策略一般有哪些
9.企业如何开展持续的风险评估
10.案例分析:金蜗牛倒闭
五、控制活动
1.控制措施的方式有哪些
2.如何保障不相容职务分离控制
3.如何设计授权审批控制
4.如何设计会计系统控制
5.如何设计财产保护控制 6.如何设计预算控制
7.如何设计运营分析控制
8.如何设计绩效考评控制
9.如何建立重大风险预警机制和突发事件应急处理机制
10.案例分析:中航油的溃败
六、信息与沟通
1.对内部控制支持的企业信息有何要求
2.企业如何收集识别相关管理信息
3.企业内部信息、外部信息包括哪些
4.企业如何建立有效的内部沟通、外部沟通
5.企业如何建立举报投诉制度和举报人保护制度
6.案例分析:伊利奶业
七、监督检查
1.内控监督检查的方式有哪些
2.监督检查机构如何行使权力
3.内控缺陷如何报告
4.如何改进内控缺陷
5.如何评估企业内部控制
6.企业内控自我评估如何报告
7.案例分析:长虹事件
八、企业内部控制实务操作
1.内部控制的责任体系如何制定
2.内部控制的基本平台如何建设
3.如何设计内部控制流程
4.如何设计内部控制风险数据库
5.如何设计内部控制风险控制文档
6.销售与收款循环控制流程和风险控制文档设计
7.采购与付款循环控制流程和风险控制文档设计
8.案例分析:中行哈尔滨事件
联系电话 :010-62864303 62863354 82593357 传
真 :010-62864303 联 系 人 :董老师 张老师
第二篇:萨班斯法案对企业内部控制.
萨班斯法案对企业内部控制
可 低影响程度 [NextPage] 5.3我国企业内部控制建设的步骤
要完善中国企业的内部控制体系,职称论文发表我们还有很长的路要走,这需要很大的人力、物力和时间资源,而且内控体系的完善不是1个1次性的工作,也不是公司中几个人的工作,它需要全员参与,需要对内部控制不断进行监督和复核,从而达到降低风险,实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤:
5.3.1 内部控制环境的建设 1.公司治理结构
目前我国公司法人治理结构存在很大缺陷,表现在: 产权结构1元化、1股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于分散,而我们的问题是股权过于集中,结果都造成了内部人控制。因此,我们应在产权明晰的基础上完善公司治理结构,解决“内部人控制”问题。调整持股结构,分散大股东股权,建立股东制衡机制,解决“1股独大”问题; 进1步健全独立董事会制度,完善独立董事责任追究制与考核机制; 完善监事会制度,从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设,根本上解决企业内部控制失控的病根。
2.法制大环境
在上市公司内部控制报告制度方面,SOX强制规定上市公司要上报内部控制报告及进行注册会计师审计,而我国目前对于内部控制报告要求还是相当宽松的,过去中国证监会仅要求会计师事务所对拟上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中,接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差,大多数公司的内部控制报告流于形式的现象,也就不足为奇了。尽管 2006 年 6月 5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。该指引和SOX在达到内控目标方面是1致的,只是这个指引还没有具体的操作细则出来,也不像SOX已经上升到法律的高度。因此,内部控制到底做到怎么样,做多少才合适,还缺乏权威的认定,因此,我们应借鉴SOX,进1步细化公司内部控制报告的要求,并建立公司管理层责任追究制度,以保证内部报告有效性与有用性。
在对单位负责人和财务主管进行会计舞弊的惩罚力度方面,我国 《会计法》、《企业财务会计报告条例》等法规规定,单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时,1直严格依法对所有负有责任的以上人员作出处罚,但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定,2005年上市公司公布年报时,公司负责人、主管会计工作负责人及会计机构负责人(会计主管人员)必须声明:“保证报告中财务报告的真实、完整”,便是借鉴了SOX要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的,相对于SOX的1系列严厉惩罚措施,我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈,SOX中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁,只有这样的力度才能成为真正威慑会计舞弊者的铁拳。
在我国,《会计法》、《审计法》、《独立审计准则》等虽然都有论及建立健全内部控制体系,但是没有具体可行的规定,尚不能够形成内部控制整体框架。目前,证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。因此,应尽快加强企业内部控制有效性评价方面的立法工作,以及内部审计和独立审计等行业准则的规定,为提高企业内部控制管理提供外部监督和指导。加强立法工作,使财务报告内部控制有效性的评价做到有法可依。
3.公司的内控文化
企业文化是随着现代工业文明的发展,企业组织在1定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的1种无形的力量,影响企业成员的思维方法和行为方式。在企业成长的过程中,文化对企业产生的许多影响都被纳入企业行为的原始部位,处于行为动机的意识层面之下,以至于文化的作用往往被人们所忽视。企业文化在企业经营管理中的重要性,是其不可避免的影响着企业的内部控制,企业在培养自身文化时,应避免1种只注重内部短期的企业文化,保持1种健康的文化氛围,使其与公司战略目标趋于1致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准,企业中正式的政策文件等只能书面表达管理阶层想让什么发生,而企业化则决定什么会发生。COSO 报告特别强调“人”在内部控制中的作用,1个企业的人力资源政策直接影响到企业中每1个人的业绩和表现。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻执行内部控制有很大的帮助,并对公司员工进行讲解程序,提高员工的风险和控制意识。全国人大 2000年7月 发布《关于加强金融机构内部控制的指导原则》,这是我国第1个关于内部控制的行政规定。高发生可能 1996年12月 毕业论文 国务院 生 能提供有建设意义的内控整改计划和方案
[NextPage] 世界1流公司 2006年9月28日 性 高发生可能 2001年6月 2000年 高影响程度 工作重点花费在核实信息、查证数据上 证监会 [NextPage] 5.3.2 内部控制风险的识别和评估
内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动,然后需要仔细研究控制活动并识别出每1个活动所涉及的风险。在这1步中,内控部门要尽量识别出每个控制活动所涉及的所有风险,而不要去评估风险的可能性和影响。当然,会影响到公司运营的外部风险也同样需要加以识别。1旦你已经完成了识别风险的工作,内控部门就需要把他们收集、整理并记录下来。接下来要进行风险评估,这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈,企业经营风险不断提高,其内部控制的机制也需要相应地提高。而我们对于内部控制的研究,我们须以环境及其风险的分析入手。企业管理者运用1系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析,判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险,及时采取措施控制和化解风险,减少损失。
内控部门需要对所有列在风险登记簿上的风险进行评估其严重性,从而决定是否需要采取减轻的措施。我们有许多方法来对风险进行分类。其中,1种风类方法是将其发生的可能性和发生后对计划影响的严重性(上面的步骤已近制定的)来进行分类。我们也可以用下面的表格对风险进行评估分类:
中国上市公司 2006年6月5日 发起成立“会计师事务所内部治理指导委员会” 发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为;要求证券公司应当按照指引的要求,建立运行高效,制定科学合理、切实有效的内部控制。
发布《关于上市公司做好各项资产减值准备等有关事项的通知》,开始要求上市公司建立内部控制。
业务流同信息流整合度不高,同财务系统集成低
在确定流程和进行测试的过程中,关键问题是看对每1个风险点是否有相应的控制措施,如果没有则要及时反馈到相应部门,要求该部门设计出应有的控制措施或给出1个合理的解释,直到所有的风险都得到控制为止。
上述工作是在安永的协助下进行。刘代春介绍,外聘咨询机构的主要职责是帮助中国人寿制定项目计划,并对404项目组进行培训,帮助他们确定重要流程和重要会计科目。而中国人寿1直聘请的外部审计机构是普华永道会计师事务所,404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。
巨大的工作量也带来1定的挑战。1试点机构404项目组的成员表示,项目开展的最初半年每天都要工作10几个小时,反复查找风险点、进行测试,并与外省机构交叉检查。对于分支机构遍布全国城乡的中国人寿来说,这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司,分公司下设地、市级支公司,总、分、支公司都有相应的业务和财务部门,单把流程写清楚就不是易事。为此,中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。
5.2 中美企业内部控制比较
由于中国企业在内部控制方面的起步较晚,所以中国企业在内部控制实施方面也就自然落后于美国1流的上市公司,下表是中美两国公司在内部控制上的比较:
有健全、完善的制度性管理条例、细则和程序
发布征求《上市公司内部控制指引》意见的通知,揭开了中国上市公司内部控制体系制度建设的序幕 发布《独立审计具体准则第9号1内部控制和审计风险》 发布部门 中国人民银行 发布《内部会计控制规范1基本规范(试行)》和《内部会计控制规范1货币资金(试行)》 在细则、条例等制度的建设上滞后
2001年2月 发布《中央企业全面风险管理指引》
财政部 深交所 能
通过上面列的这个时间表,我们不难发现,从1996年到2005年间总共颁布了10次与内部控制相关的法律法规,而在2006年这1年间,与内控相关的法规就出台5次,并同年成立了2个与内部控制相关的委员会。而这1连串法规的出台或多或少都与SOX有关,因为从2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯1奥克斯利法案》,这意味着中国在美上市公司的内部控制建设直接受到了美国法律的约束 的 财政部 低发生可能 [NextPage]
提供有建设意义的内控整改计划和方案明显不足
内审薄弱,缺乏内部控制专员 发起成立“企业内部控制标准委员会” 业务流同信息流高度整合,同财务报告高集成
证监会 中注协 发布《内部会计控制规范——采购与付款(试行)))和《内部会计控制规范1销售与收款(试行)》 2006年7月15日
外部审计结合内部控制 2003年11月 财政部 时 间 发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。发布《会计法》,首次以法律的形式对企业的内部控制做出相应的规定,将其纳入企业内部会计监督制度。发 发布《内部会计控制规范1存货(试行)》《内部会计控制规范1担保(征求意见稿)》和《内部会计控制规范1成本费用(征求意见稿)》
高影响程度
证监会 2006年6月6日 2006年5月 2005年10月19日 规范内容 从上面的列表我们发现,我国内部控制的建设和发展开始于20世纪90年代,主要由政府、证监会和行业监管机构制定的内部有关法律、法规和指引来推动。我们可以将它们分为3个层次:
第1个层次是全国人大和财政部颁布的1些法律、法规。1996年颁布的《独立审计具体准则第9号1内部控制和审计风险》,2000年新修订的《会计法》,以及2001年到2003年陆续出台的《内部会计控制规范》都属于这1层次。而这些法律法规的出台对于中国企业关于内部控制概念的植入起到了1定的积极作用。
第2个层次是中国证监会的有关规定,作为证券公司、投资基金公司的监管机构,中国的证监会出台了《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。并于2001年发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为。而在2006年又发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。这1层面虽然针对的只是以证券类公司为主,但已经将内控的概念逐步完善,已经和国际内控框架的概念趋同。
第3个层次是各行业的监管机构对本行业颁布的内控文件,如中国人民银行1997年发布《关于加强金融机构内部控制的指导原则》,国资委于2006年发布《中央企业全面风险管理指引》。同样在2006年,沪深两地的证交所都发布了《上市公司内部控制指引》来规范上市公司内部控制的制定和实际操作。
4.2.2 中美内部控制规定的比较
上述内部控制规范的制定与出台,对于改善我国企业内部控制的现状,加强会计控制,完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但与目前国际上最为权威的内部控制框架 COSO 相比较,还有很大差距。
1.内部控制的目标比较
从现有的内部控制规范来看,我国对于企业内部控制的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。与 COSO 报告相比,没有提及内部控制提高经营效率,促进企业经营管理,实现企业目标等,所以我国的规范更多着眼于监督而不是企业的内部管理。
2.内部控制规范内容范围比较
与较为成熟的内部控制理论 COSO 报告确定的5大要素—控制环境、风险评估、控制活动、信息与沟通以及监督相比较,我国内部控制的范围过于狭窄。我国现有的内部控制规范的内容主要集中于会计领域,《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。随着我国市场经济的进1步发展,企业作为市场经济主体的意识和要求必然加强,相应地企业内部控制的内容和范围也越来越宽泛,不但企业内部的控制权的问题,企业的供产销,包括企业的外围环境、文化理念、经营思想等控制环境因素与风险因素都应纳入企业内部控制的内容和范围。“内部控制的研究绝对不能局限于会计审计领域,它与经济学、管理学、法学、政治学、社会学等均有密切关系,而且对后者而言,应该比前者重要得多。”
3.内部控制评价的比较
内部控制评价是对内部控制执行有效性的检测。对于管理层的对内部控制的评价,担任公司年审的会计事务所应当对其进行测试和评价。目前我国内部控制的评价体系尚未建立,已制定和出台的内部控制规范,这方面的内容尚未作为主要部分予以重视。只有建立1套完善的、符合实际的、具有可操作性的评价指标体系,才能保证企业内部控制的有效性。
4.内部控制规范体系比较
《会计法》和《内部会计控制规范》都是从某个方面对内部控制做出规定,造成对内部控制缺乏系统研究,无法形成1个成型的内部控制规范框架体系,因此对企业内部控制建设的普遍意义指导不大。在内容层次上,虽然目前《内部会计控制规范》己陆续出台了几个具体业务的规范,但到形成1套完整的内部控制体系要求,还有相当的距离。
5、我国企业内部控制的建设
5.1法案对我国在美上市公司的影响
404 条款被认为是 SOX 法案所有条款中最严厉、最昂贵的条款,这是因为该条款要求公司都要将任何1个岗位的职务、职责描述得1目了然,而这项工作需要大量材料和文件支持。同时,为了达到 404 条款的要求,上市公司要保证在对交易进行财务记录的每1个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。显然,要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单,却恰恰可能是受到最猛烈冲击的。受规模所限,他们在执行 404 条款中更显捉襟见肘,所要花费的遵循成本可能将占收入更大的比重。
对于在美国上市的外国公司来说,SEC批准404条款生效的时间从原定的2005年7月15日推迟至2006年7月15日。尽管404条款生效时间推迟了1年,但对于我国在美上市的大型国有企业来说,时间仍然10分紧迫。建立健全企业内部控制体系既要满足SOX法案的要求,更重要的是以此为契机,完善企业内部控制系统,增强财务报告真实性,增长公司治理的经验,增强国际竞争的能力。因此,我国公司与相关监管部门应重视此项工作,认真考虑如何将企业内部控制制度与国际通行的内部控制体系相结合,加紧建立健全符合我国国情的内部控制体系。
2006年7月15日开始对在美国上市的海外公司生效包括中国石油,中国人寿在内的40余家中国公司被纳入该法案的实施范围。经过几年的建设试行、实施和完善,中国企业的内部控制完善得如何,在此,本文将以下面3个公司的例子作1说明:
2005年12月27日.中国石油签署发布《内部控制管理手册》标志着与国际规范接轨的公司内部控制体系开始正式运行。中国石油股份公司上市以来按照现代企业制度的要求和与国际规范接轨的原则,在转变经营理念、推进制度创新和管理创新方面采取了1系列措施,迈出了坚实的步伐。严格按照回报标准集中优选投资项目财务管理实行“1个全面,3个集中”,推行“4统1”的销售管理体制.通过推进电子商务实现大宗物资集中采办。这些措施对于规范公司各项管理,防范经营风险、提升公司价值发挥了显著作用。
特别是从2003年开始,公司以国内和上市地有关法规的颁布为契机.充分依托已有的管理优势, 采用国际上被广泛认可的COSO(反虚假财务报告委员会的赞助组织委员会)框架基础, 着手建立内部控制体系。两年来, 围绕内控体系建设的总体目标和各阶段部署克服各种困难做了大量卓有成效的工作取得了阶段性成果。制定了内控体系框架编制完成内部控制管理手册.实现了设计有效.开展体系试运行和符合性检查及时整改发现的问题为正式运行做好了准备,通过广泛宣传和加强培训使各级干部和全体员工对内控体系的了解逐步加深认识不断提高部分骨干管理人员已基本熟悉和掌握了风险识别和控制实施方法。初步形成了1支具有较强业务能力的内控工作队伍。
中油股份公司总裁蒋洁敏在签署发布《内部控制管理手册》的会议上指出“我们的设计总体是有效的关键问题是执行有力。只要执行有力,就能通过;反之执行不力就很难通过。《内部控制管理手册》必须百分之百执行这是2006车管理的硬任务”。
《内部控制管理手册》2006年1月1日正式发布实施以来中国石油按照内控工作目标围绕“执行有力”,积极探索有效方法,大力推动内控工作扎实深入地展开。他们开展内控手册的宣传贯彻培训和各个层次内控实施培训进1步落实工作职责和岗位责任,完善了工作网络,建立了内部控制考核监督机制。从公司总部各部门到地区公司各基层单位内控体系的各项要求得到了进1步落实。从4月10日开始,中国石油的管理层测试和外部审计全面展开测试进展顺利,审计已获通过。
基本在同1时间,华能国际于2003年也正式启动全面改进内控工作的404项目。4年来,华能国际开创性地设计了《内部控制手册》;建立了内部控制组织体系;加强了公司和电厂两个层面的内部控制工作体系;完善并促进了管理制度建设,建立了符合公司管理特点的内部控制程序。
为改进内控,华能国际付出了巨大的人力和物力,有近千人直接投入到这项工作。内部控制缺陷的数量从2005年11月普华审计预演的数千条到2007年1月普华永道第3轮审计的0缺陷。2007年4月,普华永道对华能国际内控工作正式出具了无保留意见的审计报告。至此,华能国际成为第1家通过美国《萨班斯法案》404条款的在美上市的央企控股公司。
而中国人寿也于2005年初启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍,因为自身没有经验,因而聘请了外资会计师事务所为其提供咨询服务。后据记者了解,为其担任404项目咨询工作的是4大外资会计师事务所之1的安永会计师事务所。
“404项目”分3批在中国人寿全系统推进,北京、江苏、河南和山东4个省市作为第1批开展试点。“因为没有经验,初始不能全国同步进行,出现问题的话成本控制有1定难度。”1404项目组成员表示。
试点机构从各部门抽调人员组成项目组,首先要做的工作是梳理业务和财务流程,把所有的流程都写出来,并画出流程图,找出风险点,看是否有相应的措施对其进行控制。以承保流程为例,从客户投保,到承保、出单、客户签回执、公司核销回执,再到财务入账,从头至尾,把整个流程尽可能细化地落于纸端。
“分公司项目组写好后再在几个试点机构间进行交流,看自己有哪些没写出来,或者该列为重点的没有列出来,发现问题后重新再写。”上述人士说,“光流程就写了近3个月。”
之后要做的工作是进行测试:采用抽查法先抽出1笔业务从头至尾检查是否有漏掉的环节,如果有环节被漏掉就可能存在被忽视了的风险。考虑到1笔业务并不足以说明目前的控制确实有效,之后还会抽出几10个样本,用同样的方法对这1大笔业务进行再测试。
2006年5月17日 对计划的影响程度(财务成本)
这个步骤让内控部门对风险有了进1步的识别,并发现主要的风险。上面这个表只有两个坐标轴,也只有高和低至分,而内控部么可以选择更多的参数。风险被分为4类,坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的,这类风险有高的法生可能性,而它们1旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来1系列法律问题。而剩下的两个象限就可以不需要马上采取行动,但是这并不意味着内控部门就无动于衷,要防止它们变成右上角的风险。在完成了上面这个风险评估表后,内控部门同样需要在风险登记簿进行更新。
5.3.3 计划和实施内部控制活动
在完成了主要风险的识别和后,我们需要解决的问题是如何去控制管理这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定1个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。1般而言,上面表中在左下角的风险并不需要增加控制活动,在右上角中的风险是被认为要立刻采取1个或多个措施的,因为这类风险有高的法生可能性,而它们1旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来1系列法律问题。而剩下的两个象限就可以采取1些控制来降低它的风险。
内部控制部门所需要做的是减少风险,而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用,那么就要设立新的控制活动来替代,而控制活动可以分为以下几类: 预防性的:如职权的分离,设置密码和准入; 跟踪性的:如异常报告,帐务核对; 威慑性的:如程序文件,监督审核; 更正性的:如备份程序;
控制活动包括两个要素:政策与程序。政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。要结合公司的组织结构,业务流程,起草适合上市公司运营的内部控制制度,尤其是细则和控制测试的标准,这也是内部控制体系中最重要的控制点之1。程序建设步骤如下:
首先,构造企业的业务循环,将业务循环又细分为业务流程,再将流程分为若干个作业,在业务循环模型构造的基础上,分析该业务在运行中可能出现的错误和舞弊。
然后,提出内部控制关键控制点,所谓关键控制点,是指在1个业务处理过程中起着重要作用的那些控制环节,如果没有这些控制环节,业务处理过程很可能出现错误和弊端,达不到既定目标。
最后,再设置内部控制文本,以流程图或调查表的形式描述内部控制。在美国上市公司的中国公司为应对萨班斯法案的最后期限要求所做的大量工作之1就是完善内部流程、控制条例、审核程序和风险测试的文本资料。主要借助外部顾问公司进行实施。
5.3.4 内部控制的监督
监督是1种随着时间的推移而评估制度执行质量的过程,对于内部控制实施的评审不是1个1次性的活动,我们需要定期地对内部控制进行评审和复核以确保控制活动得到了有效的实施,主要风险有了减少,并没有新的风险产生。公司可以通过第3方的审核来确保现在所有的风险都是在可控风险标准之内的。监督可通过日常的、持续的监督活动来完成。也可以通过进行个别的、单独的评估来实现,或者两者结合。在内部控制监督中,有两项职能发挥着重要作用:
1.内部审计,它既是企业内部控制的1个部分,也是监督内部控制其他环节的1个主要力量。在现代企业管理过程中,内部审计人员被赋予了新的职责和使命,美国著名内部控制专家迈克尔•海默教授曾说过:“内部审计机构应将自己视为公司的1种资源,在帮助管理者当局更有效地达到预期控制目标的过程中发挥作用,内部审计师的使命将从简单的我们实施审计向我们帮助创建1些程序,以期达到组织成功所需要的内部控制水平的方向发展”。因此,内审的职能和外部审计有所不同,内审将更注重企业的经营管理所面临的风险,并及时提出风险和改进的建议。而我国的企业大多只完成每年外审的年检,对内审的力度还有所不足。
2.内部控制,在美国企业中,企业专门设立内部控制部门,可以不定期或定期对自己的内部控制系统进行评估。评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。评估的基本特征是:关注业务的过程和控制的成效,由管理部门和职员共同进行,自我评估是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。设计内部自我评估的目的是使人们了解哪里存在有缺陷以及可能引起的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员。因此,我国企业可试行定期或不定期的进行控制自我评估,以便经常发现和解决内部控制过程中出现的问题。
5.3.5 内部控制信息的传递
企业应设立1个良好的信息与沟通系统,1个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。比如,企业会计系统的每个环节都是1个控制的过程,企业的信息系统包括企业的财务信息系统和管理信息系统。企业的财务信息系统以会计为主,提供有关企业财务方面的信息,而管理信息系统还提供很多非财务的信息。1个健全的信息系统应该能够提供内容适当、及时、正确的信息。
同样,要推广内部控制的思想和理念,并较快的纳入实践,公司就需要建立起1个好的信息系统来支持内控工作的上传下达。当然,好的信息系统同样可以保障发现风险漏洞后的及时通告和改进。在这块工作中,我国企业的信息化整合还有待改进。下面这个图正好形象反印了信息交流在内部控制建设中的作用:
结论:
从2006年7月15日开始,所有在美国上市的外国企业,已经必须执行《萨班斯——奥克斯利法案》。而在同1天,我国财政部也已经别有深意地发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
我们可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了1定的影响:1来是针对已经或准备在美国上市的中国企业必须达到法案的要求;2是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。
萨班斯法案的出台把企业内部控制的建设问题提到了法律的高度,同时也加强了管理层的责任,通过企业内部控制的完善及每年进行的符合性测试,这些努力也许并不能消除所有企业面临的风险,但是它却可以帮助企业把风险控制到1个可接受的标准范围之内,从而有效地减少企业所面临的风险。实施404条款后,对于投资者而言,良好的控制环境、完善的控制程序、有效的信息沟通、无处不在的监督使他们的权益得到了很好的保护,财务报告披露的信息更加真实可靠,投资信心大大增强。
因此,从企业长远的角度来看待企业目标的话,内部控制的作用也就是要帮助企业更好地实现企业的经营目标。我国的企业应该借此机会,加强内部控制的建设,为企业的长远发展做好内部制度规范上的准备;同时,我国的有关部门也要加紧相关法律法规的建设,并同时加大相关执法的力度,从而营造1个好的内部控制的大环境。
注释:
文宗瑜 李铭:“萨班斯法案的启示”,《首席财务官》2006年11月刊,P73 友联时骏管理顾问:《企业内部控制和风险管理》, 复旦大学出版社2005, P2 Internal Control — Integrated Framework,COSO,July 1994 Edition 李蕾:《企业内部控制及其应用》,中国优秀硕士学位论文全文数据库,2006,P5 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P18 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P1 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P78 陈飞:《萨班斯法案对我国内部控制的影响》,中国优秀硕士学位论文全文数据库,2005,P10 Joseph F.Beraraino: Enron, A Wake-up Call, The Wall Street Journal 2001,12,4 Sarbanes-Oxley Act 中国注册会计师协会:美国萨班斯法案,2003 ZETA-CIA研究中心:《2002年萨班斯-奥克斯利法案(中英对照本)》,法律出版社,2005,4 汤云为:“终结财务丑闻”,《后安然时代》,中国财政经济出版社,2003 年,P560 友联时骏管理顾问: 《企业内部控制和风险管理》, 复旦大学出版社2005, P104
第三篇:美国萨班斯法案与我国内部控制基本规范的比较及启示
美国萨班斯法案与我国内部控制基本规范的比较及启示
东北财经大学会计学院 王棣华/张小苓
中国会计报 2012-04-20 14:15:06
对《萨班斯法案》与我国内部控制规范进行比较和分析,吸收有用经验,有利于更好地完善我国企业内控体系,规范资本市场,重塑投资者信心。
加大对证券行业的监管
成立独立的监管机构。我们应该借鉴美国《萨班斯法案》的关于公众公司——监察委员会的条款,在我国建立一个独立的监管机构,从社会各界吸收精英人士。
促进跨国监管合作。随着资本在不同国家之间的流动,相应的各种经济犯罪也层出不穷。因此,应该加强各国之间的合作,严厉打击各种跨国犯罪行为,维持世界经济的新秩序。
加强注会行业的监管
促进会计师事务所做大做强。修改后的《中华人民共和国合伙企业法》,自2007年6月1日开始实行,特殊的普通合伙制被纳入合伙企业的组织形式中,这成为会计师事务所做大做强的理想选择。
对会计师事务所实行轮查制度。对注册会计师行业的监管国外大都实施轮查制度,美国《萨班斯法案》规定,对上市公司超过100名的会计师事务所每年检查一次,对少于100名的会计师事务所每3年检查一次。我国对会计师事务所的检查存在的问题主要是多头监管和重复检查。随着注册会计师行业的发展和现在我国会计师事务所合并浪潮的盛行,现在应该可以开始实施轮查制度。
禁止会计师事务所从事违反独立性的工作。我国的会计师事务所为了“走出去”就必须提高执业质量,独立性就成为一个不可避免的问题。因此,应该借鉴《萨班斯法案》,不允许会计师事务所从事可能影响独立性的非审计业务,但为了我国会计师事务所的发展,应该批准在不影响独立性的前提下允许其从事非审计业务。
加大对审计工作底稿的保管责任。《萨班斯法案》为了应对蓄意破坏审计工作底稿的情况,规定会计师事务所应该对所审计或复核的工作底稿至少保存5年,如违反此项规定将被处以罚款或20年的监禁或者予以并罚。因此,必须明确会计师事务所对审计底稿的保管责任。
加强对公司的监管
增加会计责任承诺内容。目前资本市场上的犯罪大都是涉及高级管理人员。因此,应该在高管层增加会计责任承诺内容,这有利于加强企业内部控制,建立良好的内部控制氛围。
加大公司的信息披露力度。我国要求公司披露的信息一般除了财务报表涉及的信息,现在刚增加的内容就是内部控制有效性报告,但实施效果不是很显著。建议加大公司信息披露力度,尽可能所有的上市公司都要强制实施。
充分发挥审计委员会的作用。美国《萨班斯法案》大大加强了审计委员会在内部监管中的权力,巩固了审计委员会的地位,有利于保证会计信息真实、公允和内部治理结构有效。我国现在很多公司都设有内部审计部门,但是内部审计部门并没有起到应有的作用。我国引入审计委员会制度时间较短,缺乏相关配套法律和运作规范,审计委员会工作无章可循。另外,我国审计委员会制度推行力度不够,没有具体操作指南和检验标准,一些公司的审计委员会只是一个形式,没有起到应有的作用。
加大对公司高管犯罪的惩罚力度。我国关于对高管犯罪的处罚没有具体的法律和规范,就是提及到处罚措施的时候也没有明确的描述,这对打击我国高管犯罪是不利的。加大对高管犯罪的处罚力度,制定相关法律,用法律来保护投资者的权利。(本文获年中国企业内部控制建设有奖征文活动三等奖,有删节)2011
第四篇:萨班斯法案对我国企业内部控制的影响(下)(一).
萨班斯法案对我国企业内部控制的影响(下)(一)
4.2我国内部控制相关制度的发展 4.2.1 我国内部控制规定的演变 目前,我国尚未正式出现权威性的内部控制概念,对于内部控制完整性、合理性及有效性更是缺乏公认的标准体系。现行规范中提到内部控制概念主要有三处:1996年财政部《独立审计准则第9号一内部控制与审计风险》,提到内部控制结构化概念,包括控制环境、会计系统和控制程序,是指被审计单位为保证业务活动的有效进行,保护资产的安全和完善,防止、发现纠正错误和舞弊,保证会计资料的真实、合法、完整而制定和实施的政策和程序;2001年财政部会计控制规范引用了会计控制与管理控制概念;2002年中国人民银行《商业银行内部控制指引》,借鉴了COSO报告,指出内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。我国内部控制规范进程一览表: 时 间发布部门规范内容1996年12月财政部 发布《独立审计具体准则第9号一内部控制和审计风险》1997年5月中国人民银行发布《关于加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政规定。1999年证监会发布《关于上市公司做好各项资产减值准备等有关事项的通知》,开始要求上市公司建立内部控制。2000年证监会发布《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。2000年7月全国人大发布《会计法》,首次以法律的形式对企业的内部控制做出相应的规定,将其纳入企业内部会计监督制度。2001年2月证监会发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为;要求证券公司应当按照指引的要求,建立运行高效,制定科学合理、切实有效的内部控制。2001年6月财政部发布《内部会计控制规范一基本规范(试行)》和《内部会计控制规范一货币资金(试行)》2002年12月财政部
发布《上市公司内部控制指引》,规定2007年6月30日前,深市主板上市公司均要按要求披露内部控制制度的制定和实施情况通过上面列的这个时间表,我们(京师论文辅导中心)不难发现,从1996年到2005年间总共颁布了10次与内部控制相关的法律法规,而在2006年这一年间,与内控相关的法规就出台5次,并同年成立了2个与内部控制相关的委员会。而这一连串法规的出台或多或少都与SOX有关,因为从2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯一奥克斯利法案》,这意味着中国在美上市公司的内部控制建设直接受到了美国法律的约束。从上面的列表我们(京师论文辅导中心)发现,我国内部控制的建设和发展开始于20世纪90年代,主要由政府、证监会和行业监管机构制定的内部有关法律、法规和指引来推动。我们(京师论文辅导中心)可以将它们分为三个层次: 第一个层次是全国人大和财政部颁布的一些法律、法规。1996年颁布的《独立审计具体准则第9号一内部控制和审计风险》,2000年新修订的《会计法》,以及2001年到2003年陆续出台的《内部会计控制规范》都属于这一层次。而这些法律法规的出台对于中国企业关于内部控制概念的植入起到了一定的积极作用。第二个层次是中国证监会的有关规定,作为证券公司、投资基金公司的监管机构,中国的证监会出台了《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。并于2001年发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为。而在2006年又发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。这一层面虽然针对的只是以证券类公司为主,但已经将内控的概念逐步完善,已经和国际内控框架的概念趋同。
第三个层次是各行业的监管机构对本行业颁布的内控文件,如中国人民银行1997年发布《关于加强金融机构内部控制的指导原则》,国资委于2006年发布《中央企业全面风险管理指引》。同样在2006年,沪深两地的证交所都发布了《上市公司内部控制指引》来规范上市公司内部控制的制定和实际操作。4.2.2 中美内部控制规定的比较 上述内部控制规范的制定与出台,对于改善我国企业内部控制的现状,加强会计控制,完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但与目前国际上最为权威的内部控制框架 COSO 相比较,还有很大差距。1.内部控制的目标比较
从现有的内部控制规范来看,我国对于企业内部控制的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。与 COSO 报告相比,没有提及内部控制提高经营效率,促进企业经营管理,实现企业目标等,所以我国的规范更多着眼于监督而不是企业的内部管理。2.内部控制规范内容范围比较
与较为成熟的内部控制理论 COSO 报告确定的五大要素—控制环境、风险评估、控制活动、信息与沟通以及监督相比较,我国内部控制的范围过于狭窄。我国现有的内部控制规范的内容主要集中于会计领域,《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。随着我国市场经济的进一步发展,企业作为市场经济主体的意识和要求必然加强,相应地企业内部控制的内容和范围也越来越宽泛,不但企业内部的控制权的问题,企业的供产销,包括企业的外围环境、文化理念、经营思想等控制环境因素与风险因素都应纳入企业内部控制的内容和范围。“内部控制的研究绝对不能局限于会计审计领域,它与经济学、管理学、法学、政治学、社会学等均有密切关系,而且对后者而言,应该比前者重要得多。” 3.内部控制评价的比较
内部控制评价是对内部控制执行有效性的检测。对于管理层的对内部控制的评价,担任公司年审的会计事务所应当对其进行测试和评价。目前我国内部控制的评价体系尚未建立,已制定和出台的内部控制规范,这方面的内容尚未作为主要部分予以重视。只有建立一套完善的、符合实际的、具有可操作性的评价指标体系,才能保证企业内部控制的有效性。4.内部控制规范体系比较
《会计法》和《内部会计控制规范》都是从某个方面对内部控制做出规定,造成对内部控制缺乏系统研究,无法形成一个成型的内部控制规范框架体系,因此对企业内部控制建设的普遍意义指导不大。在内容层次上,虽然目前《内部会计控制规范》己陆续出台了几个具体业务的规范,但到形成一套完整的内部控制体系要求,还有相当的距离。
五、我国企业内部控制的建设 5.1法案对我国在美上市公司的影响
404 条款被认为是 SOX 法案所有条款中最严厉、最昂贵的条款,这是因为该条款要求公司都要将任何一个岗位的职务、职责描述得一目了然,而这项工作需要大量材料和文件支持。同时,为了达到 404 条款的要求,上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。显然,要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单,却恰恰可能是受到最猛烈冲击的。受规模所限,他们在执行 404 条款中更显捉襟见肘,所要花费的遵循成本可能将占收入更大的比重。对于在美国上市的外国公司来说,SEC批准404条款生效的时间从原定的2005年7月15日推迟至2006年7月15日。尽管404条款生效时间推迟了一年,但对于我国在美上市的大型国有企业来说,时间仍然十分紧迫。建立健全企业内部控制体系既要满足SOX法案的要求,更重要的是以此为契机,完善企业内部控制系统,增强财务报告真实性,增长公司治理的经验,增强国际竞争的能力。因此,我国公司与相关监管部门应重视此项工作,认真考虑如何将企业内部控制制度与国际通行的内部控制体系相结合,加紧建立健全符合我国国情的内部控制体系。2006年7月15日开始对在美国上市的海外公司生效包括中国石油,中国人寿在内的40余家中国公司被纳入该法案的实施范围。经过几年的建设试行、实施和完善,中国企业的内部控制完善得如何,在此,本文将以下面三个公司的例子作一说明:2005年12月27日.中国石油签署发布《内部控制管理手册》标志着与国际规范接轨的公司内部控制体系开始正式运行。中国石油股份公司上市以来按照现代企业制度的要求和与国际规范接轨的原则,在转变经营理念、推进制度创新和管理创新方面采取了一系列措施,迈出了坚实的步伐。严格按照回报标准集中优选投资项目财务管理实行“一个全面,三个集中”,推行“四统一”的销售管理体制.通过推进电子商务实现大宗物资集中采办。这些措施对于规范公司各项管理,防范经营风险、提升公司价值发挥了显著作用。特别是从2003年开始,公司以国内和上市地有关法规的颁布为契机.充分依托已有的管理优势, 采用国际上被广泛认可的COSO(反虚假财务报告委员会的赞助组织委员会)框架基础, 着手建立内部控制体系。两年来, 围绕内控体系建设的总体目标和各阶段部署克服各种困难做了大量卓有成效的工作取得了阶段性成果。制定了内控体系框架编制完成内部控制管理手册.实现了设计有效.开展体系试运行和符合性检查及时整改发现的问题为正式运行做好了准备,通过广泛宣传和加强培训使各级干部和全体员工对内控体系的了解逐步加深认识不断提高部分骨干管理人员已基本熟悉和掌握了风险识别和控制实施方法。初步形成了一支具有较强业务能力的内控工作队伍。中油股份公司总裁蒋洁敏在签署发布《内部控制管理手册》的会议上指出“我们(京师论文辅导中心)的设计总体是有效的关键问题是执行有力。只要执行有力,就能通过;反之执行不力就很难通过。《内部控制管理手册》必须百分之百执行这是2006车管理的硬任务”。《内部控制管理手册》2006年1月1日正式发布实施以来中国石油按照内控工作目标围绕“执行有力”,积极探索有效方法,大力推动内控工作扎实深入地展开。他们开展内控手册的宣传贯彻培训和各个层次内控实施培训进一步落实工作职责和岗位责任,完善了工作网络,建立了内部控制考核监督机制。从公司总部各部门到地区公司各基层单位内控体系的各项要求得到了进一步落实。从4月10日开始,中国石油的管理层测试和外部审计全面展开测试进展顺利,审计已获通过。基本在同一时间,华能国际于2003年也正式启动全面改进内控工作的404项目。四年来,华能国际开创性地设计了《内部控制手册》;建立了内部控制组织体系;加强了公司和电厂两个层面的内部控制工作体系;完善并促进了管理制度建设,建立了符合公司管理特点的内部控制程序。为改进内控,华能国际付出了巨大的人力和物力,有近千人直接投入到这项工作。内部控制缺陷的数量从2005年11月普华审计预演的数千条到2007年1月普华永道第三轮审计的零缺陷。2007年4月,普华永道对华能国际内控工作正式出具了无保留意见的审计报告。至此,华能国际成为第一家通过美国《萨班斯法案》404条款的在美上市的央企控股公司。而中国人寿也于2005年初启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍,因为自身没有经验,因而聘请了外资会计师事务所为其提供咨询服务。后据记者了解,为其担任404项目咨询工作的是四大外资会计师事务所之一的安永会计师事务所。
“404项目”分三批在中国人寿全系统推进,北京、江苏、河南和山东四个省市作为第一批开展试点。“因为没有经验,初始不能全国同步进行,出现问题的话成本控制有一定难度。”一404项目组成员表示。
试点机构从各部门抽调人员组成项目组,首先要做的工作是梳理业务和财务流程,把所有的流程都写出来,并画出流程图,找出风险点,看是否有相应的措施对其进行控制。以承保流程为例,从客户投保,到承保、出单、客户签回执、公司核销回执,再到财务入账,从头至尾,把整个流程尽可能细化地落于纸端。
“分公司项目组写好后再在几个试点机构间进行交流,看自己有哪些没写出来,或者该列为重点的没有列出来,发现问题后重新再写。”上述人士说,“光流程就写了近三个月。”
之后要做的工作是进行测试:采用抽查法先抽出一笔业务从头至尾检查是否有漏掉的环节,如果有环节被漏掉就可能存在被忽视了的风险。考虑到一笔业务并不足以说明目前的控制确实有效,之后还会抽出几十个样本,用同样的方法对这一大笔业务进行再测试。在确定流程和进行测试的过程中,关键问题是看对每一个风险点是否有相应的控制措施,如果没有则要及时反馈到相应部门,要求该部门设计出应有的控制措施或给出一个合理的解释,直到所有的风险都得到控制为止。
上述工作是在安永的协助下进行。刘代春介绍,外聘咨询机构的主要职责是帮助中国人寿制定项目计划,并对404项目组进行培训,帮助他们确定重要流程和重要会计科目。而中国人寿一直聘请的外部审计机构是普华永道会计师事务所,404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。巨大的工作量也带来一定的挑战。一试点机构404项目组的成员表示,项目开展的最初半年每天都要工作十几个小时,反复查找风险点、进行测试,并与外省机构交叉检查。对于分支机构遍布全国城乡的中国人寿来说,这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司,分公司下设地、市级支公司,总、分、支公司都有相应的业务和财务部门,单把流程写清楚就不是易事。为此,中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。5.2 中美企业内部控制比较 由于中国企业在内部控制方面的起步较晚,所以中国企业在内部控制实施方面也就自然落后于美国一流的上市公司,下表是中美两国公司在内部控制上的比较: 世界一流公司中国上市公司公司治理结构较好,基础数据透明度高公司治理结构刚刚起步,基础数据不完善有健全、完善的制度性管理条例、细则和程序在细则、条例等制度的建设上滞后外部审计结合内部控制内审薄弱,缺乏内部控制专员
工作重点放在系统性、流程风险的测试工作重点花费在核实信息、查证数据上能提供有建设意义的内控整改计划和方案提供有建设意义的内控整改计划和方案明显不足业务流同信息流高度整合,同财务报告高集成业务流同信息流整合度不高,同财务系统集成低5.3我国企业内部控制建设的步骤 要完善中国企业的内部控制体系,我们(京师论文辅导中心)还有很长的路要走,这需要很大的人力、物力和时间资源,而且内控体系的完善不是一个一次性的工作,也不是公司中几个人的工作,它需要全员参与,需要对内部控制不断进行监督和复核,从而达到降低风险,实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤: 5.3.1 内部控制环境的建设 1.公司治理结构 目前我国公司法人治理结构存在很大缺陷,表现在: 产权结构一元化、一股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于分散,而我们(京师论文辅导中心)的问题是股权过于集中,结果都造成了内部人控制。因此,我们(京师论文辅导中心)应在产权明晰的基础上完善公司治理结构,解决“内部人控制”问题。调整持股结构,分散大股东股权,建立股东制衡机制,解决“一股独大”问题; 进一步健全独立董事会制度,完善独立董事责任追究制与考核机制; 完善监事会制度,从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设,根本上解决企业内部控制失控的病根。2.法制大环境 在上市公司内部控制报告制度方面,SOX强制规定上市公司要上报内部控制报告及进行注册会计师审计,而我国目前对于内部控制报告要求还是相当宽松的,过去中国证监会仅要求会计师事务所对拟上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中,接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差,大多数公司的内部控制报告流于形式的现象,也就不足为奇了。尽管 2006 年 6月 5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。该指引和SOX在达到内控目标方面是一致的,只是这个指引还没有具体的操作细则出来,也不像SOX已经上升到法律的高度。因此,内部控制到底做到怎么样,做多少才合适,还缺乏权威的认定,因此,我们(京师论文辅导中心)应借鉴SOX,进一步细化公司内部控制报告的要求,并建立公司管理层责任追究制度,以保证内部报告有效性与有用性。在对单位负责人和财务主管进行会计舞弊的惩罚力度方面,我国 《会计法》、《企业财务会计报告条例》等法规规定,单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时,一直严格依法对所有负有责任的以上人员作出处罚,但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定,2005年上市公司公布年报时,公司负责人、主管会计工作负责人及会计机构负责人(会计主管人员)必须声明:“保证报告中财务报告的真实、完整”,便是借鉴了SOX要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的,相对于SOX的一系列严厉惩罚措施,我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈,SOX中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁,只有这样的力度才能成为真正威慑会计舞弊者的铁拳。在我国,《会计法》、《审计法》、《独立审计准则》等虽然都有论及建立健全内部控制体系,但是没有具体可行的规定,尚不能够形成内部控制整体框架。目前,证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。因此,应尽快加强企业内部控制有效性评价方面的立法工作,以及内部审计和独立审计等行业准则的规定,为提高企业内部控制管理提供外部监督和指导。加强立法工作,使财务报告内部控制有效性的评价做到有法可依。3.公司的内控文化 企业文化是随着现代工业文明的发展,企业组织在一定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的一种无形的力量,影响企业成员的思维方法和行为方式。在企业成长的过程中,文化对企业产生的许多影响都被纳入企业行为的原始部位,处于行为动机的意识层面之下,以至于文化的作用往往被人们所忽视。企业文化在企业经营管理中的重要性,是其不可避免的影响着企业的内部控制,企业在培养自身文化时,应避免一种只注重内部短期的企业文化,保持一种健康的文化氛围,使其与公司战略目标趋于一致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准,企业中正式的政策文件等只能书面表达管理阶层想让什么发生,而企业化则决定什么会发生。COSO 报告特别强调“人”在内部控制中的作用,一个企业的人力资源政策直接影响到企业中每一个人的业绩和表现。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻执行内部控制有很大的帮助,并对公司员工进行讲解程序,提高员工的风险和控制意识。5.3.2 内部控制风险的识别和评估 内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动,然后需要仔细研究控制活动并识别出每一个活动所涉及的风险。在这一步中,内控部门要尽量识别出每个控制活动所涉及的所有风险,而不要去评估风险的可能性和影响。当然,会影响到公司运营的外部风险也同样需要加以识别。一旦你已经完成了识别风险的工作,内控部门就需要把他们收集、整理并记录下来。接下来要进行风险评估,这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈,企业经营风险不断提高,其内部控制的机制也需要相应地提高。而我们(京师论文辅导中心)对于内部控制的研究,我们(京师论文辅导中心)须以环境及其风险的分析入手。企业管理者运用一系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析,判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险,及时采取措施控制和化解风险,减少损失。内控部门需要对所有列在风险登记簿上的风险进行评估其严重性,从而决定是否需要采取减轻的措施。我们(京师论文辅导中心)有许多方法来对风险进行分类。其中,一种风类方法是将其发生的可能性和发生后对计划影响的严重性(上面的步骤已近制定的)来进行分类。我们(京师论文辅导中心)也可以用下面的表格对风险进行评估分类: 发生的可能性高发生可能低影响程度高发生可能高影响程度低发生可能低影响程度低发生可能高影响程度对计划的影响程度(财务成本)这个步骤让内控部门对风险有了进一步的识别,并发现主要的风险。上面这个表只有两个坐标轴,也只有高和低至分,而内控部么可以选择更多的参数。风险被分为四类,坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的,这类风险有高的法生可能性,而它们一旦发生对我们(京师论文辅导中心)在运营方面的影响又将是巨大的,它们还可能带来一系列法律问题。而剩下的两个象限就可以不需要马上采取行动,但是这并不意味着内控部门就无动于衷,要防止它们变成右上角的风险。在完成了上面这个风险评估表后,内控部门同样需要在风险登记簿进行更新。
5.3.3 计划和实施内部控制活动 在完成了主要风险的识别和后,我们(京师论文辅导中心)需要解决的问题是如何去控制管理这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定一个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。一般而言,上面表中在左下角的风险并不需要增加控制活动,在右上角中的风险是被认为要立刻采取一个或多个措施的,因为这类风险有高的法生可能性,而它们一旦发生对我们(京师论文辅导中心)在运营方面的影响又将是巨大的,它们还可能带来一系列法律问题。而剩下的两个象限就可以采取一些控制来降低它的风险。内部控制部门所需要做的是减少风险,而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用,那么就要设立新的控制活动来替代,而控制活动可以分为以下几类: 预防性的:如职权的分离,设置密码和准入; 跟踪性的:如异常报告,帐务核对; 威慑性的:如程序文件,监督审核; 更正性的:如备份程序; 控制活动包括两个要素:政策与程序。政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。要结合公司的组织结构,业务流程,起草适合上市公司运营的内部控制制度,尤其是细则和控制测试的标准,这也是内部控制体系中最重要的控制点之一。程序建设步骤如下: 首先,构造企业的业务循环,将业务循环又细分为业务流程,再将流程分为若干个作业,在业务循环模型构造的基础上,分析该业务在运行中可能出现的错误和舞弊。然后,提出内部控制关键控制点,所谓关键控制点,是指在一个业务处理过程中起着重要作用的那些控制环节,如果没有这些控制环节,业务处理过程很可能出现错误和弊端,达不到既定目标。最后,再设置内部控制文本,以流程图或调查表的形式描述内部控制。在美国上市公司的中国公司为应对萨班斯法案的最后期限要求所做的大量工作之一就是完善内部流程、控制条例、审核程序和风险测试的文本资料。主要借助外部顾问公司进行实施。5.3.4 内部控制的监督 监督是一种随着时间的推移而评估制度执行质量的过程,对于内部控制实施的评审不是一个一次性的活动,我们(京师论文辅导中心)需要定期地对内部控制进行评审和复核以确保控制活动得到了有效的实施,主要风险有了减少,并没有新的风险产生。公司可以通过第三方的审核来确保现在所有的风险都是在可控风险标准之内的。监督可通过日常的、持续的监督活动来完成。也可以通过进行个别的、单独的评估来实现,或者两者结合。在内部控制监督中,有两项职能发挥着重要作用: 1.内部审计,它既是企业内部控制的一个部分,也是监督内部控制其他环节的一个主要力量。在现代企业管理过程中,内部审计人员被赋予了新的职责和使命,美国著名内部控制专家迈克尔•海默教授曾说过:“内部审计机构应将自己视为公司的一种资源,在帮助管理者当局更有效地达到预期控制目标的过程中发挥作用,内部审计师的使命将从简单的我们(京师论文辅导中心)实施审计向我们(京师论文辅导中心)帮助创建一些程序,以期达到组织成功所需要的内部控制水平的方向发展”。因此,内审的职能和外部审计有所不同,内审将更注重企业的经营管理所面临的风险,并及时提出风险和改进的建议。而我国的企业大多只完成每年外审的年检,对内审的力度还有所不足。2.内部控制,在美国企业中,企业专门设立内部控制部门,可以不定期或定期对自己的内部控制系统进行评估。评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。评估的基本特征是:关注业务的过程和控制的成效,由管理部门和职员共同进行,自我评估是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。设计内部自我评估的目的是使人们了解哪里存在有缺陷以及可能引起的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员。因此,我国企业可试行定期或不定期的进行控制自我评估,以便经常发现和解决内部控制过程中出现的问题。5.3.5 内部控制信息的传递 企业应设立一个良好的信息与沟通系统,一个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。比如,企业会计系统的每个环节都是一个控制的过程,企业的信息系统包括企业的财务信息系统和管理信息系统。企业的财务信息系统以会计为主,提供有关企业财务方面的信息,而管理信息系统还提供很多非财务的信息。一个健全的信息系统应该能够提供内容适当、及时、正确的信息。同样,要推广内部控制的思想和理念,并较快的纳入实践,公司就需要建立起一个好的信息系统来支持内控工作的上传下达。当然,好的信息系统同样可以保障发现风险漏洞后的及时通告和改进。在这块工作中,我国企业的信息化整合还有待改进。下面这个图正好形象反印了信息交流在内部控制建设中的作用: 结论: 从2006年7月15日开始,所有在美国上市的外国企业,已经必须执行《萨班斯——奥克斯利法案》。而在同一天,我国财政部也已经别有深意地发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。我们(京师论文辅导中心)可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了一定的影响:一来是针对已经或准备在美国上市的中国企业必须达到法案的要求;二是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。萨班斯法案的出台把企业内部控制的建设问题提到了法律的高度,同时也加强了管理层的责任,通过企业内部控制的完善及每年进行的符合性测试,这些努力也许并不能消除所有企业面临的风险,但是它却可以帮助企业把风险控制到一个可接受的标准范围之内,从而有效地减少企业所面临的风险。实施404条款后,对于投资者而言,良好的控制环境、完善的控制程序、有效的信息沟通、无处不在的监督使他们的权益得到了很好的保护,财务报告披露的信息更加真实可靠,投资信心大大增强。
因此,从企业长远的角度来看待企业目标的话,内部控制的作用也就是要帮助企业更好地实现企业的经营目标。我国的企业应该借此机会,加强内部控制的建设,为企业的长远发展做好内部制度规范上的准备;同时,我国的有关部门也要加紧相关法律法规的建设,并同时加大相关执法的力度,从而营造一个好的内部控制的大环境。注释: 文宗瑜 李铭:“萨班斯法案的启示”,《首席财务官》2006年11月刊,P73 友联时骏管理顾问:《企业内部控制和风险管理》, 复旦大学出版社2005, P2 Internal Control — Integrated Framework,COSO,July 1994 Edition 李蕾:《企业内部控制及其应用》,中国优秀硕士学位论文全文数据库,2006,P5 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P18 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P1 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P78 陈飞:《萨班斯法案对我国内部控制的影响》,中国优秀硕士学位论文全文数据库,2005,P10 Joseph F.Beraraino: Enron, A Wake-up Call, The Wall Street Journal 2001,12,4 Sarbanes-Oxley Act 中国注册会计师协会:美国萨班斯法案,2003 ZETA-CIA研究中心:《2002年萨班斯-奥克斯利法案(中英对照本)》,法律出版社,2005,4 汤云为:“终结财务丑闻”,《后安然时代》,中国财政经济出版社,2003 年,P560 友联时骏管理顾问: 《企业内部控制和风险管理》, 复旦大学出版社2005, P104 杨雄胜:“内部控制理论研究新视野”,《会计研究》,2005 年第 7 期,P50 张为国、邱昱芳:《后安然时代》,中国财政经济出版社,2003 年,P280 李天星: “三大石油公司备考萨班斯法案”,《中国石油企业》,2006,8 华能国际跨过《萨班斯法案》门槛,中国证券网-上海证券报,2007,4,12 中国人寿备战萨班斯法案 404不易在国内推, 21世纪经济报道,2006,4,6 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P79 胡大钧:“论SOX与完善我国企业会计内控制度 ”,《集团经济研究》,2006,20 Codes-related guidance Internal controls, Feb 2007 Carolyn L.Lousteau: Internal Control Systems for Auditor Independence,The CPA Journal, 2006 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P80 MANAGEMENT’S RESPONSIBILITY FOR INTERNAL CONTROLS主要参考文献: 1、《企业内部控制和风险管理》,友联时骏管理顾问,复旦大学出版社,2005 2、《后安然时代》,张为国、邱昱芳,中国财政经济出版社,2003 3、《内部控制会计制度设计:理论•实务•案例》,张文贤,孙琳,立信会计出版社,2004 4、《超越COSO——强化公司治理的内部控制》,鲁特,刘肖仓,中信出版社,2004 5、《2002年萨班斯-奥克斯利法案(中英对照本)》,ZETA-CIA研究中心,法律出版社,2005 6、《首席财务官》,2006年11期 7、Internal Control Systems for Auditor Independence,The CPA Journal, 2006
8、Codes-related guidance Internal controls, www.xiexiebang.com.uk, Feb 2007
9、MANAGEMENT’S RESPONSIBILITY FOR INTERNAL CONTROLS10、免费论文网
第五篇:SOX简介、萨班斯法案
建立符合SOX法案以及企业内部控制基本规范的内部审计思路
2009-10-19 17:18 文鸿义 【大 中 小】【打印】【我要纠错】
随着企业规模的扩大以及社会经济环境的要求,对企业内部控制的制度建设正日益受到广泛关注,而作为内部控制最基本的一个环节内部审计,也正逐渐提上日程,并越来越多受到重视。本文根据美国颁布的《萨班斯-奥克斯利法案》以及我国颁布的《企业内部控制基本规范》有关企业内部审计的要求,来探讨建立企业内部审计的思路。
一、SOX法案的产生背景及缘由
SOX法案即《萨班斯-奥克斯利法案》。在一般人眼中,美国一直是一个法治比较完备,企业管理相对规范、高效,社会诚信良好的国家。但是 , 2001年出现的安然事件,以及由此发现的一系列美国著名大公司在公司治理和财务管理力方面的问题,引发了美国社会特别是经济界、金融界的诚信危机。安然公司的造假主要依靠三种途径,一是通过资本重组,建立了超过3000多个各类子公司、孙公司、合伙公司在内的复杂的公司结构体系,以便使公司进行大规模违规融资活动。二是通过内部各类公司之间的复杂的关联交易,随意制造营业收入和利润。三是创造出一套非常复杂的公司财务结构,使用了被称为SPE(特殊目的主体)的金融工具和其他资产负债表进行表外融资。
首先,我们从安然的故事中看到了一个缺乏责任的董事会。如公司董事长兼首席执行官肯莱利用个人的影响通过巨额资助竞选。此外,公司与董事利益相互交织互相利用安然公司签订了多份与独立董事的咨询服务和产品销售的业务合同,还向独立董事任职的非盈利机构大量捐款。这种利益交织的情况下独立董事对公司管理层的监督形同虚设。在缺乏监督和制约的条件下,公司就会被个人操纵和利用成为内部人牟取个人利益的手段。
另一个扮演着不光彩角色的是安达信公司。安达信从20世纪80年代中开始承担安然的外部审计业务到90年代又承担了其内部审计业务。这样,安达信一手为安然作帐,用另一手为其查帐。当会计师事务所为同一个客户同时提供审计和咨询两种服务时,其审计的独立性就可能因此受到影响。
包括安然在内的一系列公司假账丑闻的发生,已经不是个别公司的问题,而是美国公司制度的缺陷。这个缺陷主要表现在公司治理结构的不平衡和外部监督的缺失。在这样一个背景下,《萨班斯-奥克斯利法案》于2002年7月30日正式出台。它以维护广大投资者利益为宗旨,对惩治公司财务欺诈、规范企业行为和加强资本市场监管等方面做出了更加严厉、更加全面的规定。
该法案的核心是通过立法加强对财务制度和企业内部的控制,并增加企业财务透明度和及时对各种缺陷进行修复。如果企业被认定未达到萨班斯法案的要求,将可能使企业受到严重处罚,包括高额罚款以及管理层个人形式责任追究。
二、法案涉及财务内部控制的主要内容
通过仔细观察萨班斯法案,对企业的财务审计工作产生的重大影响主要集中在其中的302条款和404条款。即:
(1)首席执行官(CEO)和首席财务官(CFO)诚信声明。按照萨班斯法案302和404条款,公司(这里主要是上市公司)的首席执行官和首席财务官必须在对外公布财务报告时发表有关该财务报告真实性的诚信声明,并作为该财务报告的必要组成部分。该声明主要包括以下几个方面的内容:(1)CEO和CFO已经审查核实了公司的财务报表和财务报告;(2)在CEO和CFO所了解的范围内,该财务报表和财务报告真实完整地反映了该公司在本会计期间内的财务状况,不包含任何虚假的信息,也不存在误导各利益相关者的成分I(3)该财务报表和其他财务信息公允地反映了本会计期间的资产负债、经营损益以及现金流量等状况,(4)CEO和CFO要对本公司的内控情况和采取的内控措施作出评估,并声明该公司内控体系的有效性。
(2)302条款对企业财务审计的影响。作为提供社会中介鉴证服务的会计师事务所,在对企业的财务进行审计过程中,应当秉承客观,独立、公正的原则。302条款要求上市公司CEO和CFO必须发表财务会计报告诚信声明,这就在一定程度上约束了企业的造假冲动,会计师事务所可以理直气壮地对企业的财务状况实施客观、独立和公正的审计,有利于提高企业的财务会计信息质量和审计质量。
(3)404条款及其对企业财务审计的影响。萨班斯法案404条款的主要内容是要求企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明,同时,为保证企业CEO和CFO声明的真实可靠,要求会计师事务所应当对企业内控系统的有效性进行测试评估,而且,此项测试应当成为会计师事务所进行企业财务审计的重要内容之一,但对企业内控系统有效性的测试不是一项独立的审计业务。与过去相比,这无疑大大增加了财务审计的工作量,也对会计师事务所的执业能力和执业水平提出了更高的要求。
三、法案对我们国内公司建立内部控制制度的指导意义
根据该法案,自2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯——奥克斯利法案》。而同一天,我国财政部发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
我们可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了一定的影响:一来是针对已经或准备在美国上市的中国企业必须达到法案的要求;二是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。
因此,探讨萨班斯法案对中国企业内部控制建设的影响至少有以下两层意义:
1、理论意义:我国自20世纪90年代起便开始加大政府对内部控制的推动作用,现有的法律法规和行政规范中多项涉及到内部控制的内容,尤其表现在内部审计方面。同时也要看到,我国的内部会计规范才刚开始,一套完整的内部控制规范体系的建立还有待时日。因此相对比较完善的美国内部控制理论,尤其是2002年颁布的《萨班斯一奥克斯利法案》,对我国内部控制制度的建立具有一定的启发和参考、借鉴意义。
2、实务意义:所有在美国证券交易委员会(SEC)备案的公司,包括在美国注册的上市公司和在外国注册而在美国上市的公司,都必须符合《萨班斯一奥克斯利法案》的要求。而众多准备在美国上市的中国企业还没有意识到法案对其上市的重大影响,即使是已经在美国上市的中国公司,仍有部分不十分清楚法案的具体要求以及如何应对。与此同时,在中国上市的公司也要逐步建立起一套行之有效的内部控制体系来应对企业面临的各种风险,提高企业管理的质量。
四、我国相关内部控制规范对内部审计的要求
内部控制规范在我国相对晚些,如在二00五年十二月十一日,国务院国有资产监督管理委员会发布《关于加强中央企业内部审计工作的通知》(国资发评价[2005]304号)明确指出“内部审计是审计监督的重要组成部分,加强企业内部审计,是建立健全现代企业制度不可或缺的重要环节,是推动企业转变经营机制、依法经营、规范管理、增强市场竞争力、实现健康快速发展的重要手段。”并要求各中央企业要充分认识内部审计工作的重要性,高度重视内部审计工作,切实加强领导。要将内部审计工作纳入企业重要议程,保障内部审计工作有效开展,在企业营造尊重审计、支持审计、自觉接受审计的工作环境,充分发挥内部审计工作在完善企业内部控制、防范经营风险、提高经营管理水平方面的作用。”与此同时,国务院国有资产监督管理委员会还要求企业需进一步建立完善企业内部控制机制,为实现经营管理目标,确保财务信息真实可靠、资产安全完整,提高资产运营效率与效益服务。具体提出了四项内部控制要求:即一要建立和完善内部控制体系,科学设置组织结构,健全内部控制制度。二要加强经营风险评估,增强企业适应环境和防范风险的能力。三要加强对内部控制执行的监督和检查,内部审计部门应当组织开展内部控制有效性的评价工作,充分发挥内部审计在内部控制中的监督作用。四要按照现代企业制度要求,探索与完善企业内部控制有
效性审计和评价工作方法,不断完善企业内部控制体系,促进提高企业管理水平。
此外,二OO八年五月二十二日发布的《企业内部控制基本规范》(财会[2008]7号)也明确指出,中华人民共和国境内设立的大中型企业 应根据该规范建立内部控制。对于小企业和其他单位可以参照本规范建立与实施内部控制。该规范明确了内部控制是企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
基本规范要求企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。并特别指出,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。企业应当根据该规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
企业应当制定内部控制缺陷认定标准,结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。
从以上内容可以看到,企业内部审计部门的地位是多么重要。且基本规范再次明确了内部审计在内部控制中的地位和作用,将内部审计提高到了极其重要的地位。这些规范的颁布,为企业内部审计部门加强内部控制管理,明确自身责任,提供了依据,也为内部审计工作提供了广阔舞台。
五、建立符合SOX法案以及企业内部控制基本规范的内部审计工作思路
为切实履行内部审计职责,发挥内部审计在内部控制中的作用,结合企业实际,本人初步拟定了建立符合SOX法案以及企业内部控制基本规范的内部审计工作思路,以供参考。
(一)内部审计的目的是加强公司及所属公司的管理和监督,维护财经法纪,改善经营管理,提高经济效益。
(二)内部审计应在公司总经理或董事会下设的审计委员会的直接领导下,对公司各部门以及公司所属单位的财务收支和经济效益等进行监督,独立行使审计职权,对总经理或审计委员会负责并报告工作,在业务上同时受上级审计计机构的领导和地方审计机关的监督。
(三)内部审计的任务:
1、主要任务有:
(1)对公司及所属公司的资金、财产的完整安全进行监督审计。
(2)对公司及所属公司的财务收支计划、投资和经费的预算,信贷计划,外汇收 支计划和经济合同的执行以及经济效益进行审计监督。
(3)对公司及所属公司的会计报表进行内部审计。
(4)对公司及所属公司的经营责任的审计评议,配合上级审计机构对公司主要领导人及所属公司的主要领导人的离任经济责任进行审计。
(5)对公司及其他所属各公司基建工程项目的概(预)算的执行、建设成本的真实性和经济效益进行审计。
(6)对公司及所属公司的内部控制制度的健全、有效及执行情况进行监督检查。
(7)对严重违反财经纪律,侵占国家、公司资产,严重损失浪费等损害国家、公司利益的行为进行专案审计。
(8)贯彻执行有关审计法规,制定或参与研究本公司及所属公司有关的规章制度。
(9)办理公司领导、上级审计机构交办的其他审计事项,以及配合上级审计部门和外部会计师事务所对公司及所属公司进行审计。
2、内部审计主要职权
(1)根据内部审计工作的需要,被审计单位应按时向审计部报送有关计划、预算、决算报表和文件资料等。
(2)检查实物、凭证、帐册、有关文件和资料。
(3)参与有关的会议。
(4)索取有关的证明材料。
(5)对正在进行的严重违反财经法纪、严重损失浪费行为作出临时制止的决定。
(6)对阻挠、破坏审计工作以及拒绝提供有关资料的,经公司领导批准可以采取必要的临时措施,并提出追究有关人员责任的建议。
(7)监督被审计单位严格执行审计决定。
(8)对审计工作中的重大事项有权直接向上级审计机构如实反映。
(9)对违反财经法纪和大量浪费的被审计单位的直接责任人员和单位负责人,可建议公司总经理给予行政处分,情节特别严重的可建议移送司法机关依法追究刑事责任。
3、内部审计主要工作程序
(1)内部审计部门在年初应根据上级审计部门的部署结合公司的具体情况确定审计工作计划,报请总经理或董事会批准后实施。
(2)在实施审计计划时应拟订审计方案,审计范围、内容、方式和时间,并通知被审计单位要求提供必要的工作条件。
(3)在审计中必须做好工作底稿,记录审计过程,各种旁证材料齐全,作好调查记录并应有相关人员的签名盖章。
(4)审计中如有争议应如实反映给领导,必须依法有据,实事求是地提出解决办法,切忌主观、武断。
(5)每项审计工作结束最迟不得超过两个星期提出内部审计报告。
4、内部审计报告的总体要求及运行程序
内部审计报告的总体要求:事实清楚、数据确实、依法有据、建议恰当。
审计报告在征求补充被审计单位意见后(不是同意审计报告),报送公司经理办公会审定、由董事会批准后,下达审计结论和处理决定,通知被审计单位执行。被审计单位在听取内部审计部门审计报告征求意见后有不同意见时,应首先对事实和数据是否确切可提出补充意见,经内部审计部门查明后修改或补充,对审计报告引用的法规依据、处理建议的内容等也可以提出不同的看法,内部审计部门应根据事实,可以予以采纳或维护原审计报告。审计报告经批准下达后,被审计单位对审计报告提出的整改意见必须执行。内部审计部门必须在一定时期内向总经理、董事会报告被审计单位的执行情况。
审计报告下达后由于情况变化和有新的重要数据遗漏,经查明事实后,被审计单位应向内部审计部门报告的同时向总经理报告,由总经理或审计委员会决定原审计报告是否修改或继续执行。
每个审计报告以及审计工作底稿等附件必须在二个月内整理装订成册,并移交档案部门归档备查。
5、奖惩条例
(1)对审计工作成绩显著的工作人员以及在揭发检举中的有功人员给予表扬和奖励,具体奖励办法另行制定。
(2)审计人员泄漏机密,或以权谋私、参与舞弊行为者应给予警告或一至三月工资罚款的行政处分,情节严重、构成犯罪的提请司法机关依法追究其刑事责任。(3)对打击、报复审计人员的,不论其职位高低,先在公司内部由总经理视情节严重情况给予警告、罚款、降薪降职等行政处分,情节特别严重的报上级部门处理,情节特别严重的由司法机关依法追究其法律责任。
附:
公司内部审计流程图
审计工作计划
审计管理 审计档案管理
审计业绩考核
内部审计
审计准备
审计实施
审计作业
审计报告
后续跟踪审计或监督执行
点击咨询 